RECYCLER Virus ရွင္းလင္းနည္း


မိမိ ကြန္ျပဳတာမွာ Recycler Virus ဝင္ၿပီဆိုရင္ စက္ကေလးေနမယ္...။ Folder ေတြ Hidden ျဖစ္ေနမယ္.. ဒါက virus ရဲ႕ သဘာဝပါ...အဲဒီဗိုင္းရပ္စ္ကို သက္ဖို ့အတြက္

Recycle Virus ရွင္းနည္း...(၁)

Recycle Virus ေၾကာင့္ စိတ္ညစ္ေနတဲ့ သူငယ္ခ်င္းမ်ားအတြက္ ရွင္းရန္နည္းလမ္းေလးပါ...
ပထမအဆင့္အေနနဲ႕
Ctrl + Alt + Del ကိုနွိပ္ျပီး Windows Task Manager ျပီးတဲ့အခါ Processes Tab ကိုသြားပါ။
CTFMON.EXE ရွာျပီး End Task လိုက္ပါ။ျပီးရင္္ Start Menu ထဲက CTFMON.EXE ကိုရွာျပီး ျဖတ္လိုက္ပါ။



ဒုတိယအဆင့္ အေနနဲ႕ကေတာ့
Run ကိုသြားျပီး cmd လိုေရးျပီး Enter ေခါက္လိုက္ပါ။အမဲေရာင္ Window တခုေပၚလာပါလိမ့္မယ္။
ျပီးရင္အဲ့ဒီထဲမွာ ..
cd\ လို့ေရးျပီး Enter ႏွိပ္လိုက္ပါ။ attrib –r –s –h +a *.inf လို့္ေရးျပီး Enter ႏွိပ္လိုက္ပါ။
del autorun.inf လို့္ေရးျပီး Enter ႏွိပ္လိုက္ပါ။ attrib –r –s –h +a recycled လို့္ေရးျပီး Enter ႏွိပ္လိုက္ပါ။ cd recycled လို့္ေရးျပီး Enter ႏွိပ္လိုက္ပါ။ del *.* and confirm the deletion လို႕ေရးျပီး Enter ႏွိပ္လိုက္ပါ။ cd\ လို့္ေရးျပီး Enter ႏွိပ္လိုက္ပါ။ rmdir recycled လို့္ေရးျပီး Enter ႏွိပ္လိုက္ပါ။

အေပၚကအဆင့္ေတြကို ေက်ာ္သြားျပီးဆိုရင္ Recycler Virus ကေပ်ာက္သြားပါ့လိမ့္မယ္။
မွတ္ခ်က္၊ ၊ အေပၚက Code ေတြတခါေရးျပီး ရင္ Enter တခါေခါက္ပါ။
  unlocker ကို နဲ႔ အသံုးျပဳႏိုင္ပါတယ္...ခင္ဗ်ာ..
အားလံုး Virus ရန္မွ ကင္းေ၀းႏုိင္ၾကပါေစ ခင္ဗ်ာ...

RECYCLER Virus ရွင္းလင္းနည္း (၂)

ပထမအဆင့္အေနနဲ႔
Folder Option ထဲက View မွာ ေအာက္မွာေဖာ္ျပထားတဲ့ Item ေတြကို Uncheck ေပးထားလိုက္ပါ...။

>>display the contents of system folders

>>hide extensions for known file types

>>hide protected operating system files (Recommended)

ျပီးရင္ Apply > Ok

ဗိုင္းရပ္စ္က Registry ထဲထိ ၀င္ေနမယ္ဆိုရင္ေတာ့ ကြန္ျပဴတာ ျပန္ဖြင့္တိုင္းမွာ အသက္ျပန္ဝင္ေနမွာပဲျဖစ္ပါတယ္။ ဒါဆိုရင္ Registry ထဲကိုဝင္ျပီး ျပင္ဖို ့ လိုအပ္ပါတယ္...။ အဲဒါေၾကာင့္

>>Start>>Run>>regedit>>Enter
>>Registry Editor Box မွာ ဘယ္ဘက္မွာ HKEY_LOCAL_MACHINE>>SOFTWARE>>Microsoft>>Active Setup>>Installed Components 
အထိေရာက္ေအာင္သြားၿပီးေတာ့ ဒီနာမည္နဲ႔ folder ကို
 {08B0E5C0-4FCB-11CF-AAX5-90401C608512} ဖ်က္ပစ္ပါ...။

ေနာက္တစ္ခုကေတာ့
>>Start>>Run>>msconfig>>Enter
System Configuration Utility  
ဆိုတဲ့ box ေပၚလာမွာျဖစ္ပါတယ္...။
အဲ့ဒီ့က startup tab မွာ RECYCLER.exe ကိုရွာၿပီး အမွတ္ျခစ္ထားတာကို ...ျဖဳတ္ေပးပါ...။ ေနာက္ၿပီး
အဲ့ဒီ့ဖိုင္ ရိွတဲ့ လမ္းေၾကာင္းကိုၾကည့္ၿပီး အေပၚက Regedit Editor မွာသြားဖ်က္ေပးပါ...

မိမိရဲ ့ကြန္ျပဴတာမွာ Recycler ဆိုတဲ့ Folder ကိုေတြ ့ျမင္တတ္ရပါတယ္။ အလြယ္ေျပာရရင္ေတာ့ Delete လုပ္တဲ့ ဖိုင္ေတြဟာက Recycle Bin ထဲမေရာက္ပဲ သူ ့ထဲမွာ ေရာက္ေနတာ မ်ိဳးပါ။ အဲဒီ Folder ကိုလည္းဖ်တ္လို ့မရပါဘူး။
ဒီလို ဆက္လုပ္ဗ်ာ...။Unlocker ဆိုတဲ့ software ကိုေအာက္မွာ download ခ်ျပီး scan ေပးလိုက္ပါ။ ဖ်က္လို႔မရတဲ့ Folder ကို Right ကလစ္ႏွိပ္ျပီး Unlocker ဆိုတာကိုေရြးေပးပါ...။


ပံုမွာ ျပထားတဲ့အတိုင္း Delete ကိုေရြးျပီး OK ေပးလိုက္ပါ။ အဲဒါဆိုရင္ အဆင္ေျပ သြားပါလိမ့္မယ္။ အားလံုးပဲ Virus ရန္က ကင္းေဝးႏိုင္ၾကပါေစ...။
 

RECYCLE Virus ရွင္းလင္းနည္း...(၃)


Recycler.exe ဗိုင္းရပ္စ္ဟာ jwgjvsq.vmx လို႔အမည္ေပးထားတဲ့ worm-type အမ်ိဳးအစားဗိုင္းရပ္စ္   ျဖစ္ပါတယ္။ အထူးသျဖင့္ USB/portable Drives တို႔က ကူးစက္သလို Network ကတစ္ဆင့္ ပ်ံ႕ႏွံ႔လာတယ္လို႔ သိရပါတယ္...။ ဖိုင္လ္ဒါနဲ႔အတူ autorun.inf ဆိုတဲ့ ဖိုလ္ဒါတစ္ခုကိုလည္း သတိျပဳမိပါလိမ့္ မယ္...။ ၎ folder မ်ားကို Hidden လုပ္ေဖ်ာက္ထားလို႔ ပံုမွန္အားျဖင့္ မျမင္ရပါ...။ ၎ Recycler folder ကို ထပ္ဖြင့္ၾကည့္ရင္ jwgkvsq.vmx ဆိုတဲ့ ဖိုင္ရွိပါတယ္...။ အဲဒီဒါဟာ ဗိုင္းရပ္စ္လား...၊ ဘယ္လိုကူးစက္   ေအာင္လုပ္ထားတယ္ဆိုတာ ေတာ့ ဖိုင္ကိုဆက္ၿပီး မဖြင့္ရဲလို႔ မသိပါဘူး...။ Anti-virus ေဆာ့ဖ္၀ဲလ္ အမ်ားစုက ၎ကို detect မလုပ္ႏိုင္သလို ဖ်က္လို႔လည္း မရပါ...။ အနီးဆံုးတူတ့ဲ ဗိုင္းရပ္စ္မ်ားကို ရွာၾကည့္တဲ့အခါ w32/confi, W32/Conficker.worm!inf, Win32/Conficker.B-CA လို႔ေတြ႔ရပါတယ္...။
အဲ့ဒါမ်ိဳးေတြ စက္ထဲ ကူးစက္ေနၿပီဆိုရင္....
၁) စက္ကသိသာစြာ ေလးလံေနွးေကြးသြားမွာပါ...။
၂) Network ခ်ိတ္ဆက္ထားတဲ့ ကြန္ပ်ဴတာမ်ားကိုလည္း ကူးစက္ပါတယ္...။
၃) USB မ်ားသို႔ ကူးစက္ပါတယ္...။ USB Port မွာလာတပ္တဲ့ USB Drive, Flash Drives, portable external hard drives, mobile phone, mp3 players စသည္တို႔ကိုလည္း ကူးပါလိမ့္မယ္...။
ဘာေတြျဖစ္မလဲဆိုေတာ့ “Show Hidden Files and Folders” အလုပ္မလုပ္ႏုိင္ေတာ့ပါ။ Tools/Folder Options/View (tab) က “Show hidden files and folders” ကိုေရြးခ်ယ္လိုက္ေပမယ့္ ျပန္ထြက္တဲ့အခါ “Do Not Show Hidden Files and Folders” ျပန္ျဖစ္သြားပါလိမ့္မယ္...။ ဒါဆိုရင္ ဗိုင္းရပ္စ္ကူးေနပါၿပီ...။
ကြန္ပ်ဴတာမွာ ခုနကေျပာတဲ့ Drives တပ္လိုက္တာနဲ႔ autorun.inf ဖိုင္နဲ႔ RECYCLER folder ကို တည္ေဆာက္ပါလိမ့္မယ္...။ အဲဒီအထဲမွာ jwgkvsq.vmx virus ဖိုင္က တခါတည္းပါသြားမွာပါ ...။
အဲ့ဒီအေကာင္ ၀င္ေရာက္ၿပီး အခ်ိန္ၾကာလာတာနဲ႕ အမွ် network သံုးလို႔မရေတာ့ပါဘူး...တစ္ခ်ိဳ႕ဆို အင္တာနက္ လိုင္းေတြနဲ႕ Viurs နဲ႕ဆိုင္တဲ့ Website ေတြေတာင္ ၀င္လို႔မရေတာ့ဘူးလို႔ဆိုပါတယ္...။
Safe Mode ၀င္ဖို႔ ႀကိဳးစားတိုင္း ကြန္ပ်ဴတာသည္ Restart ျပန္ျဖစ္ေနပါမယ္...။ဒါမွ မဟုတ္ shutdown ျဖစ္သြားပါလိမ့္မယ္...။...... အဲဒီ့အေကာင္ကိုေျဖရွင္းဖို႔

အဆင့္ (၁)
၁)“Fix Downadup.exe ”  တကယ္လို႔ ေဒါင္းလို႔မရရင္
၂)anti-Downadup-EN.zip
3) Process Explorer နဲ႔ Autoruns လိုအပ္တဲ့ ေဆာ့ဖ္၀ဲေတြရၿပီဆိုရင္ ကြန္ပ်ဴတာမွာ Network ေတြျဖဳတ္
ထားလိုက္ပါ...။ FixDownadup.exe ကို run ပါ...။ ၎သည္ ဗိုင္းရပ္စ္မ်ားကို ရွင္းထုတ္ႏိုင္ပါတယ္...။ Scanning လုပ္ၿပီးတာနဲ႔ Report ေပၚလာပါလိမ့္မယ္...။ ၎ Report မွာ W32.Downadup ကိုေအာင္ျမင္စြာ ဖယ္ထုတ္ၿပီးေၾကာင္း ေဖၚျပပါလိမ့္မယ္...။ ထို႔အတူ ကြန္ပ်ဴတာကို Restart ျပန္လုပ္ဖို႔နဲ႔ MS08-067 အတြက္ Patch ကို တင္ေပးမယ္လို႔ ျပပါမယ္...။ ကြန္ပ်ဴတာကို Restart ျပန္လုပ္ပါ...။

အဆင့္ (၂)
USB Device မ်ားမွ ဖယ္ထုတ္ျခင္း USBကေန jwgkvsq.vmx ဗိုင္းရပ္စ္ကို သတ္ရပါအံုးမယ္...။ ကြန္ပ်ဴတာကို Safe Mode နဲ႔ဖြင့္ပါ...(F8)။  ေပၚလာတဲ့ Menu ကေန Safe Mode ကိုေရြးခ်ယ္ပါ...။ USB Port မွာ USB Device ကိုတပ္ပါ...။ ရဲရဲသာတပ္လိုက္ပါ...Safe Mode မွာ autorun.inf ဖိုင္မပြင့္ပါဘူး...။ Tools/Folder Options/View(tab) ကေန “Show Hidden Files and Folders” ကိုဖြင့္ပါ...။ Autorun.inf ဖိုင္ သို႔မဟုတ္ folder ကို Shirt +Delete နဲ႕ဖ်က္ပါ...။ RECYCLER ဖိုလ္ဒါကိုလည္း ဖ်က္ပါ။

အဆင့္(၃)
RECYCLER ကိုဖ်က္ျခင္း
အထက္ေဖၚျပပါအတုိင္း ေဆာင္ရြက္ရာမွာ RECYCLER ဖိုလ္ဒါကို ဖ်က္မရပါက ၎ကိုအရင္ Disable လုပ္ၾကည့္ပါမယ္...။ Desktop ေပၚက Recycle Bin (icon) ကို Right Click ႏွိပ္ၿပီး Properties ကို ေရြးခ်ယ္ပါ...။ ၎တြင္ “Configure Drives Independently” ကိုေရြးခ်ယ္ပါ...။ ၿပီးေတာ့ External Drive ရွိရာသို႔ ေျပာင္းၿပီး “Do not move files to the recycle bin” ကိုေရြးခ်ယ္ပါ။ Apply. OK လုပ္ပါ...။ အကယ္၍ Flash Drive ျဖစ္ပါက MoSo Force Delete ေဆာ့ဖ္၀ဲကို အသံုးျပဳၿပီး Delete လုပ္ပါ။
အဲ့ဒီ့နည္းေတြနဲ႕မွ မရရင္ Unlocker ကိုသံုးၿပီး ဖ်က္ပစ္ပါ...။

အဆင့္ (၄ )
Registry  
Run (box) မွာ regedit လို႔ရိုက္ထည့္ၿပီး Registry Editor သို႔၀င္ပါ...။ Jwgkvsq.vmx ဖိုင္အမည္ကို ရွာပါ...။ ေတြ႔ရင္ Right Click လုပ္ၿပီး Delete လုပ္ပါ...။ တကယ္လို႔ သင့္ကြန္ပ်ဴတာမွာ Network ရွိတယ္ဆိုရင္ အျခားဆက္သြယ္ထားတဲ့ ကြန္ပ်ဴတာအားလံုးကိုလည္း စစ္ေဆးသင့္ပါတယ္...။ ဒါမွမဟုတ္ရင္ သင့္ကြန္ပ်ဴတာကို ဗိုင္းရပ္စ္ျပန္ကူးဖို႔ လြယ္ကူေနပါလိမ့္မယ္။ အားလံုးကို အဆင့္အတိုင္းသြားပါ...။ အရင္တင္ေပးတာေတြနဲ႕လည္း စမ္းသပ္ႏိုင္ပါတယ္...ကဲ သူငယ္ခ်င္းတို႔ Virus ႏွင့္ နပန္းလံုးျခင္းမွ ကင္းေ၀းႏိုင္ၾကပါေစဗ်ာ..... 

ref:naing-diary.blogspot.com

3 comments:

အစ္ကို.. Recycler က အထဲမွာ. Exeဖိုင္ေပါင္း ၁၅ ခုထက္မနည္းရွိပါတယ္. အဲဒီေတာ့ စက္တစ္လံုးနဲ႔ တစ္လံုးလဲကိုက္တဲ့ေကာင္ခ်င္းမတူႏုိင္ပါဘူး.။ အဲဒီေတာ့ အစ္ကိုေျပာတဲ့ CTFMON.EXE ကို
end process ေပးဖို႔ဟာကလည္း တစ္ခ်ိဳ႕စက္မွာမရႏုိင္ပါဘူး.။ ဘာျဖစ္လို႔လဲဆိုေတာ့..တစ္ခ်ိဳ႔ကြန္ပ်ဴတာေတြက Recycler Folder ထဲကပဲ.တစ္ျခားေကာင္က ကိုက္ေနတာမို႔လို႔ပါ.။ ဆရာလုပ္တာ မဟုတ္ပါ.ခင္ဗ်ာ.။ အစ္ကို႔ ဘေလာ့ကိုအားေပးေနတဲ့ပရိတ္သတ္တစ္ဦးပါ.။

ေက်းဇူးတင္ပါတယ္ ခုလို ေဝဖန္ေထာက္ျပတာကို .....:) ဒီပို႔စ္ေလးက အမ်ားသူငွာ ဗဟုသုတ ရေစရန္ အတြက္ရည္ရြယ္ျပီး naing-diary.blogspot.com ကေန တဆင့္ျပန္လည္မွ်ေဝေပးလိုက္တာပါ က်ေနာ္ကိုယ္တိုင္ အေတြ႕အၾကံဳေပၚမူတည္ျပီး ေရးထားတာမဟုတ္ပါဘူး..... အမ်ား ဗဟုသုတ ရေစဖို႔ရည္၇ြယ္ပါတယ္.....:)

ေက်းဇူးတင္ပါတယ္
ဒီနည္းေတြအတိုင္းလုပ္တာလဲ
ဖိုင္ေတြ က်န္ေနတယ္ စက္ေတြ ေလးေနေသးလို႔
သိတဲ့ဆရာမ်ား လမ္းညႊန္ ကူညီေပးၾကပါအံုး

Post a Comment